Big Data zwischen "Großem Bruder" und Datenschutz
"Datenschutzakademie Schleswig-Holstein": Verwendung von Big Data mit personenbezogenen Daten sei datenschutzgerecht möglich
Big Data zwischen "Großem Bruder" und Datenschutz
(26.09.13) - Trotz langfristiger Planung versuchen die Sommerakademien der vom Unabhängigen Landeszentrum für Datenschutz (ULD) betriebenen "Datenschutzakademie Schleswig-Holstein" seit 20 Jahren immer aktuelle Fragen zur Diskussion zu stellen. Dass mit dem Thema "Big Data – Informationelle Fremd- oder Selbstbestimmung?!" am 26. August eine Punktlandung erreicht würde, war nicht absehbar: "Big Data" steht nicht mehr nur für die Verheißungen der Wirtschaft, völlig neue Erkenntnismöglichkeiten in einer vernetzten Informationsgesellschaft zu eröffnen. Der Begriff ist vielmehr ist angesichts der umfassenden Rasterung von Internetdaten durch US-amerikanische und britische Geheimdienste oder durch die nicht anonyme Auswertung durch die Wirtschaft, etwa von Rezeptdaten aus Apothekenrechenzentren, mit einem bitteren Geschmack verbunden.
In seinem Grußwort stellte Wirtschafts-Staatssekretär Ralph Müller-Beck die Relevanz von Big Data für den Verbraucherschutz und den Datenschutz – Stichwort "big problem" – wie auch für neue Entwicklungsmöglichkeiten in den Bereichen Unternehmen und Wissenschaft heraus. Vor diesem Hintergrund sei die Politik gefordert, für alle Beteiligte rechtliche Rahmenbedingungen zu entwickeln, die Rechtssicherheit für die Unternehmen im Wettbewerb und für die Verbraucher zum Schutz ihrer Persönlichkeitsrechte bieten. Ein Ansatz hierfür könne die derzeit im Gesetzgebungsverfahren befindliche EU-Datenschutzgrundverordnung sein.
Der Leiter des ULD Thilo Weichert wies darauf hin, dass Big Data und Datenschutz zusammengebracht werden könnten, wenn die auszuwertenden Daten nicht undifferenziert in eine große Datenbank gesteckt werden, sondern die Zusammenführung und -auswertung nach einem geordneten Verfahren erfolgt, bei dem den jeweiligen Datensätzen Metadaten zu Zweck, Zugriffsberechtigung und Relevanz beigegeben werden, die bei der Auswertung beachtet werden. Durch wirksame Aggregierung und Anonymisierung und durch den technisch-organisatorischen Ausschluss von Re-Identifizierungen könnten Analysen mit einem hohen Erkenntniswert durchgeführt werden, ohne dass die betroffenen Menschen unangemessen beeinträchtigt werden. Die Praxis in der Wirtschaft, nicht nur bei den großen Internetanbietern oder bei den britischen und den US-amerikanischen Geheimdiensten, ließen insofern noch viele Wünsche übrig. Es bestehe daher noch ein großes Forschungs- und Entwicklungspotenzial sowie ein entsprechender Umsetzungsbedarf.
Susanne Dehmel, Bereichsleiterin Datenschutz beim Branchenverband Bitkom, sagte ein gewaltiges Wachstum auf dem Big Data-Markt voraus von 2013 mit 651 Mio. Euro auf geschätzte 1,7 Mrd. Euro im Jahr 2016. Darin seien sowohl kundenorientierte Anwendungen als auch solche im öffentlichen Interesse sowie kombinierte Lösungen, wie etwa intelligente Verkehrssysteme, enthalten. Um bei dieser Entwicklung Datenschutz zu wahren, hat der Bitkom einen Leitfaden "Management von Big Data-Projekten" mit einer Checkliste "Privacy Impact Assessment" veröffentlicht. Eine zentrale Herausforderung sei es dabei, Daten aus verschiedenen Datenbeständen so zu anonymisieren, dass auch keine indirekte Re-Identifizierung möglich ist. Big Data mit personenbezogenen Daten sei datenschutzgerecht möglich. Zur Entwicklung von Lösungen sollten Unternehmen und Aufsichtsbehörden konstruktiv zusammenarbeiten.
Günter Karjoth von IBM Research – Zurich stellte technische Datenschutzlösungen bei der Analyse großer Datenmengen vor. Eine sei die Anonymisierung als besondere Form der Datentransformation. Hierbei genüge nicht nur ein Verändern der Identifizierungsdaten; vielmehr müssten und könnten die Merkmale in ihrer Granularität und ihrer Aussagekraft verändert werden, ohne dabei eine Verfälschung vorzunehmen. Als ein Maß für den Schutz von Personendaten führte er k-Anonymity ein, das zur persönlichkeitsrechtlichen Risikobewertung und -minimierung genutzt werden kann. Dem stellte er das Prinzip von l-Diversity an die Seite, bei dem ein mögliches Wissen von Angreifern auf die Anonymität berücksichtigt wird. Mit t-Plausibility werden sensitive Merkmale in semantisch weniger sensible Merkmale ersetzt. Jedes Re-Identifizierungsrisiko hänge von der Charakteristik der Daten ab. Man müsse sich damit abfinden, dass eine Verstärkung der Anonymitätsgarantie zu einer Verringerung der Datenqualität führt und eine Güterabwägung nötig ist.
Stephan Noller, CEO der im Bereich der Internetwerbewirtschaft tätigen nugg.ad, beschrieb die Anwendung von technischen Schutzmethoden in der Praxis und wie dabei ein adäquater Ausgleich zwischen zielgenauer Werbeansprache und Persönlichkeitsschutz erreicht werden kann. Dabei erfolgt eine Kombination der Pseudonymisierung von Datensätzen, informationeller Gewaltenteilung bei der Zuordnung, umgehende Löschung von Identifikatoren, Vermeidung sensitiver Kategorien und größtmöglicher Transparenz für den User. Als erster Schritt hin zu Einwilligungslösungen wird ein Widerspruchsrecht gegen die Analyse von Surfverhalten angeboten. Bei der anstehenden europäischen Datenschutzreform, bei der mit Unternehmensanreizen gearbeitet werden solle, erhofft sich Noller auch eine Auswirkung auf den US-Markt.
Bei der anschließenden, von der stellvertretenden ULD-Leiterin Marit Hansen moderierten Podiumsdiskussion mit den Referenten ging es unter anderem um die Auswirkungen, die die Enthüllungen von Edward Snowden auf die praktische Datenschutzarbeit und den Datenschutz in Europa haben und welche Lehren für die europäische Gesetzgebung, die Arbeit von Datenschutzbeauftragten und die Gestaltung von IT-Systemen gezogen werden sollen.
Die Veröffentlichung der "spektakulären Grundrechtsverletzungen" (Noller) führt erkennbar zu Verhaltensveränderungen, z. B. beim Nutzen von Online-Banking oder US-amerikanischer Clouds. Nach dem Bekanntwerden der NSA-Datenauswertungen drohe eine Verrohung der Datenverarbeitung, da die Schere zwischen der Durchsetzung des Datenschutzes und der bekannten Verstößen immer weiter auseinanderläuft. Die Diskussionsteilnehmenden waren sich einig, dass das Betoffenenvertrauen für die Aktivitäten von Wirtschaft wie für den Staat wichtig ist. Stephan Noller sprach von der Notwendigkeit einer "Algorithmen-Ethik" bei allen Beteiligten.
Auf die Frage, was getan werden kann, gab es Antworten von Resignation bis zu konkreten Vorschlägen. Man war sich einig, dass Druck auf die Bundesregierung nötig sei, ihrem Schutzauftrag für die Bürgerinnen und Bürger nachzukommen. Angesprochen seien aber viele weitere Player: Aufsichtsbehörden, Unternehmen, letztlich die gesamte Bevölkerung. Anzustreben seien mehr behördliche und gerichtliche Klärungen. Selektives Marktverhalten sei gefordert. Die Politiker könnten bei der Diskussion und der Verabschiedung der Europäischen Datenschutz-Grundverordnung klare Vorgaben machen. (ULD: ra)
ULD: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>